问题标签 [sdlc]

我想知道您是否会考虑检查数据库字段的长度是部分安全的 SDLC？

一直认为使用 Jmeter 等工具进行模糊测试只是 QA。为什么模糊测试被认为是安全 SDLC 的一部分？

尤其是在当今快速发展的环境中，存在着在较短的开发生命周期内快速交付产品的商业压力。这里没有什么新鲜事，这是我们都知道的敏捷方法。

一个重要的阶段是收集需求并构建一些模型/线框，至少作为与利益相关者讨论的起点。

存在许多不昂贵的工具，但通常（除其他缺点外）它们没有正向工程设施。因此，设计复杂的界面（具有数百个控件）意味着多余的工作：首先设计模型并在您首选的 IDE 中重做所有工作。

作为捷径，有些人更喜欢使用拖放工具和一些 RAD 工具（WinForms/WebForms 等）直接构建 GUI

但是，一旦您的产品成熟（并且受众增长），您可能希望迁移到更易于管理和易于扩展的东西（可能具有移动支持），即 ASP MVC。但是你已经有了相当复杂的网页，有很多控件——并且嵌入了商业价值——并且不建议重写所有这些，更不用说一些高级、复杂的控件（带有模板单元格的网格等）。

这里有两个（完全不同的）问题：

1. 一旦你有一个相当稳定的产品，你如何设法轻松地进行这样的转换——即逐步替换/重写模块，部分地（如果可能的话），（WebForms-> MVC），或者什么？这是主要问题- 哪种策略对您来说最成功？
2. 您使用哪些工具来快速制作 ASP MVC 应用程序原型（从头开始）？

正如其他人所观察到的，缺乏直接为 ASP MVC 项目快速原型设计的完整/成熟产品。

可以在这里找到一些工具 - 大多数人已经知道它们，很可能......

• https://www.quora.com/What-are-the-best-tools-for-rapidly-prototyping-a-web-application
• http://www.webdesignerdepot.com/2013/08/30-essential-ux-tools/
• http://keynotopia.com/keynote-mockups-templates/
• https://www.quora.com/What-is-the-best-UI-framework-that-work-with-AngularJS-to-build-mobile-apps
• http://alternativeto.net/software/balsamiq-mockups/
• https://www.simple-talk.com/dotnet/asp.net/rapid-prototyping,-the-mvc-working-model/

这是一个非常经典的问题，没有一个简单/单一的答案，我意识到这一点。只是我对此类工具没有广泛的最新经验，尤其是对于现代/移动应用程序。

I'm a student of software engineering. My lecturer of "Software Architecture and Design" has told us that we can generate source code from all the UML diagrams (or most). I already can / have generated code from class diagram. I'm unable to generate code from other diagrams. Do I have to someway connect those diagrams with class diagrams to do that?

我们在 TFS 2015 中有一个工作项结构（将很快升级到 2017，如果那里有可能相关的功能），它由通常的 CMMI 模板层次结构组成：Epic->Feature->Requirement（其中需求大致类似到其他模板中的 PBI，对于那些不熟悉的人）

我们通过使 Epic 和 Feature 有意义来抽象化大量工作。应用一个常见的类比，此设置中对网页要求的 Epic->Feature->Requirement 可能是 [Security]->[Password Management]->[Password Complexity rule xyz]

主要问题是，虽然“工作项树”类型查询功能强大且对此设置有用，但 TFS 的某些功能仅适用于工作项类型查询的平面列表，包括仪表板小部件。继续上面的示例，如果我想创建一个小部件来查看完成了多少安全要求 (PBI)，我无法做到这一点。

我正在寻找有关如何在 VS2015 或 VS2017 中绕过此限制的想法，到目前为止我能想到的最佳解决方案是创建一个使用 TFS api 遍历树然后复制标题或 ID 的服务挂钩父 Epic/Feature 到某个虚拟字段中的 Requirement 上。这看起来非常笨重和不雅。另一种选择是在区域中镜像史诗/功能层次结构，但这非常不利，因为我们将区域用于其他目的，并且会产生维护问题，因为它们需要保持同步。

作为考试修订的一部分，我正在研究过去的试卷 - 一个不断弹出的问题与“推理数据”或“推理”有关

一个典型的例子可能是...

“讨论术语推理并描述安全程序员可能采取哪些步骤来防止它发生（使用代码片段来帮助你回答）。”

我知道推理数据可以定义为来自用户不应该访问的记录集的数据，但是任何人都可以帮助提供可能有助于我进一步探索这个问题的其他信息。

谢谢。

在 Azure 中管理将代码更改部署到 Dev、Test 和 Prod 环境的好方法是什么？Azure / Service Fabric 站点提供了一篇文章，用于使用操作指南下的参数指定端口号 - 管理应用程序生命周期 ( https://docs.microsoft.com/en-us/azure/service-fabric/service-fabric-how -to-specify-port-number-using-parameters），但我不确定如何管理主机名 - 是否有可以包含在 Publish Profile .xml 文件中的主机名相关属性（例如，Cloud.xml） ?

背景：我正在从作为 Windows 服务运行并使用带有 http 和 https 端点的 WebHttpBinding 的自托管本地 WCF 应用程序迁移（使用 T4 配置文件模板来确定主机名和端口号，具体取决于环境）。我正在将此迁移到 Azure ServiceFabric WcfCommunicationListener 应用程序（类似于此处找到的示例：https ://github.com/loekd/ServiceFabric.WcfCalc ）......

如您所见，主机名是从 StatelessServiceContext 的 NodeContext 获得的——有没有一种好的方法可以将其设置为针对每个环境的不同主机名？我的客户需要能够根据主机名进行 http/https 调用以确定他们连接到哪个环境。谢谢！

目前我们将工件名称命名为releasenumber-sprintnumber-jenkinsbuildnumber-SNAPSHOT.jar

但我们计划将每个提交标记映射到构建生成的工件版本。

所以，工件名称将是releasenumber-gittag-SNAPSHOT.jar

因此，为了使其在管道的构建-QA-发布阶段更有帮助，

当开发人员标记提交时，git tag 应该是什么样子？

这些工件名称将作为依赖项的一部分build.gradle或pom.xml在 java build 中。

质量保证 (QA) 总是追求正确的计划。QA 验证经过验证的测试结果。
我的问题是：

测试策略属于 SDLC 或 QA 吗？

质量保证和软件开发生命周期 (SDLC) 有什么关系？

我正在研究标准访问。我写了这段代码：

当我运行它时，它告诉我这条消息

查询表达式中的字符串语法错误 price < 40 AND type IN ('Double", "Single") ORDER BY price;